距离在温哥华开幕的Pwn2Own黑客大赛只有不到两个星期了,为了避免再次出现去年那样的尴尬,Apple一口气为Safari浏览器打上了16个安全补丁,其中包括了12个可能被攻击者用来劫持计算机的严重安全漏洞。
上一次Apple更新Safari还是去年11月的事,当时4.0.4版本的Safari移除了7个漏洞,而通过这次的补丁,Apple正式将Mac OS X版和Windows版的Safari浏览器升级到4.0.5版,并且准备迎战即将在今年3月24日CanSecWest安全大会上开始的Pwn2Own大赛。Safari将和微软的IE、Mozilla的Firefox以及Google的Chrome一起走上擂台,众多黑客们将为了4万美元的奖金而展开挑战,但根据大赛组织者的预计,Safari仍将是第一个被击败的。
根据Apple发布的公告,有四分之三的漏洞(16个中的12个)属于Apple标注的“管制代码执行(arbitrary code execution)”类别,这意味着这些漏洞都是关键的,黑客可能会利用这些漏洞攻入Mac或Windows计算机。关于漏洞的级别,Apple与微软和Oracle等其他厂商不同,并没有给发现的漏洞定义威胁排名。
在得到修补的16个漏洞中,有9个是关于开源的WebKit浏览器引擎的,这是Safari的基础所在。有6个漏洞只会影响到Safari的Windows版本,包括XP、Vista和Windows 7。在这6个Windows版本的漏洞中,4个是Image IO 组件的问题,可能会在Safari渲染一些特制的TIFF或BMG图像文件时触发。——51CTO王文文:很囧的事情是,作为WebKit的曾经主导者,Apple近期的修补速度已经落后于Google。而Google的开发人员也表示,目前Google对WebKit开源项目的贡献量已经是最大。
16个漏洞中的两个是由Safari浏览器的竞争对手报告给Apple的。曾任职于VeriSign但现在身为微软漏洞研究(MSVR)团队的浏览器漏洞专业研究人员Billy Rios发现了Windows版的一个漏洞并报告给Apple,而另一位来自Google的研究人员Robert Swiecki 发现了WebKit的一个漏洞。
Apple对WebKit引擎的修复工作来的非常及时。就在上个月,Pwn2Own的赞助商3Com TippingPoint的安全研究团队组长Aaron Portnoy还和人打赌说Safari会在大赛中崩溃,而很大一部分原因就是因为它是建立在“众所周知的充满bug的WebKit上”。
在2008年和2009年的Pwn2Own中,研究人员Charlie Miller都在几分钟之内就通过未修补的Safari漏洞成功的入侵了Mac计算机。
Safari 4.0.5在其他方面的更新还包括在未指定的第三方浏览器插件的稳定性方面的增强,对用来显示用户经常访问的域名的热门网站(Top Sites)功能的改进,以及修复了关于浏览器处理路由设置和基于Web文件与iWork套件协作共享网站等非安全性的漏洞。
根据网络分析机构NetApplications.com的调查统计,在2009年底被Chrome追上后,Safari的市场份额在目前几大网络浏览器中已经排到了第四位。
Safari 4.0.5现在可以从Apple的网站上下载了,分别包括Mac OS X 10.4(Tiger)、Mac OS X 10.5(Leopard)和Mac OS X 10.6(Snow Leopard);Windows XP、Windows Vista和Windows 7版本。Mac OS X操作系统的软件更新功能将会自动提示Safari新版本的下载,而已经使用Safari的Windows用户会从Apple软件更新工具中得到通知。
经过连续两年的打击,Apple的Safari团队已经被安全问题搞的风声鹤唳。总不能每次出来都是第一个被干掉吧?看看Google Chrome,明明是用着和自己一样的Webkit引擎,在比赛中居然可以全身而退。这真是一件让人尴尬的事情。2010年3月24号即将临近,让我们看看他们的修补效果究竟如何。这一次的攻破时间,是几秒,还是几分钟,还是几小时?
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
IE9远超竞争对手在阻挡社会工程学攻击方面
据NSS Labs实验室,微软IE9在阻挡社会工程学攻击方面的安全功能远远超过其竞争对手的浏览器,包括谷歌的Chrome,Mozilla的Firefox,以及苹果的Safari。
-
黑帽大会2011:研究人员展示Android攻击
Dasient公司的一个研究团队将会在黑帽大会2011上展示一个严重的Android手机drive-by攻击,该攻击可以使攻击者获得对网络的访问并窃取手机上的数据。
-
隐私浏览模式真能确保你的数据安全吗?
斯坦福大学的计算机科学与安全研究实验室的有关人员将在Usenix安全研讨会上发布一个白皮书,说明四款主流浏览器的隐私浏览模式,其实并不能像公众认为的那样……
-
中国黑客发现Safari大量漏洞
据外国媒体报道,《福布斯》网站今天发布文章称,来自中国上海的安全研究员吴石(Wu Shi)已经跨入全球顶尖的浏览器漏洞发现者之行列。